En décembre 2024, j’avais présenté mon homelab et esquissé des objectifs pour 2025. Quatorze mois plus tard, l’infrastructure a bien changé. Voici ce qui a évolué et ce qui est resté en place.

Ce qui a changé

Proxmox est parti, Incus est là

Le changement le plus important. Mon homelab est passé de Proxmox sur un seul NUC à trois serveurs Incus autonomes :

  • brass — mini PC sur site (BMAX, 16 Go de RAM)
  • brick — mini PC sur site (anciennement nuc01, 64 Go de RAM)
  • amber — serveur dédié chez Hetzner (64 Go de RAM, 4 To de stockage)

Pas de cluster. Chaque serveur fait tourner Incus de manière indépendante. Cela reste simple et évite la complexité du consensus distribué entre des sites aux conditions réseau différentes. Je profite des avantages d’Incus (conteneurs système légers, API propre, profils) sans la charge opérationnelle d’un cluster.

Deux serveurs supplémentaires vivent en dehors d’Incus : mocca fait tourner Mailcow et ferny héberge Forgejo.

Ansible a mûri

Fin 2024, je décrivais mes playbooks Ansible comme « simples ». Ce n’est plus le cas. Chaque service est désormais un rôle à part entière avec un README, des exemples de configuration et des secrets chiffrés via sops. L’approche d’automatisation incrémentale que j’avais adoptée a porté ses fruits : chaque nouveau service déployé enrichit ma collection de rôles réutilisables.

Je gère aujourd’hui 21 services distincts répartis sur plus de 30 instances depuis un seul dépôt.

Le CI/CD existe

Forgejo sur ferny n’était qu’un hébergement de dépôts. Désormais, il pilote un vrai pipeline. Woodpecker CI récupère les webhooks de Forgejo et lance les builds automatiquement. Les webhooks n’écoutent que sur localhost, pour limiter la surface d’attaque.

L’identité a trouvé sa place

Authentik tourne sur trois instances et fournit du SSO via OIDC et SAML pour tout ce qui le supporte, plus du forward-auth via Traefik pour le reste. C’était totalement absent en 2024. Disposer d’une vraie couche d’identité a changé ma façon de penser le déploiement de nouveaux services : si une application ne peut pas s’intégrer à Authentik, elle a intérêt à avoir une bonne raison d’exister dans ma stack.

Traefik a remplacé le bricolage

Trois instances Traefik gèrent le reverse proxy et la terminaison TLS. Fini les configurations nginx à la main. Les certificats arrivent automatiquement via Let’s Encrypt.

Le DNS est sorti

J’avais prévu d’héberger moi-même le DNS autoritaire avec PowerDNS et Unbound. J’ai pris une autre direction : ClouDNS.net gère toutes mes zones primaires. Le DNS autoritaire fait partie de ces services où la disponibilité et l’anycast comptent plus que la satisfaction de le faire tourner soi-même. Je conserve des résolveurs locaux, mais les zones vivent ailleurs.

Les sauvegardes ont changé de cible

Je suis passé de la storage box Hetzner et Storj à OVH et Scaleway comme destinations de sauvegarde. Restic gère les sauvegardes des serveurs, resticprofile celles des portables. Deux fournisseurs, deux géographies, même modèle de résilience. Storj et la storage box Hetzner sont en cours de retrait.

Le mail est auto-hébergé

Mailcow tourne sur mocca, un serveur dédié en dehors du périmètre Incus. Il gère tout mon courrier. La configuration n’est pas gérée par Ansible, ce qui en fait la seule exception à mon approche infrastructure-as-code. Je maintiens un runbook séparé pour ce service.

Le blog est passé à Hugo

Le site que vous lisez est passé de Zola à Hugo. Les deux sont d’excellents générateurs de sites statiques. L’écosystème et le choix de thèmes de Hugo ont fait pencher la balance.

Les services que je fais tourner

Voici la liste complète, classée par usage :

Productivité : Nextcloud, ONLYOFFICE, Bookstack, Teable, Paperless-ngx

Développement : Forgejo, Woodpecker CI

Finance : Actual Budget, Dolibarr

Média : Immich

Web et contenu : sites statiques Hugo, WordPress, FreshRSS, LinkAce

Recherche et IA : SearXNG, LibreChat

Notifications : NTFY

Infrastructure : Traefik, Authentik, Zabbix, Gatus, Healthchecks

La plupart de ces services n’existaient pas dans mon setup en décembre 2024. La dérive de périmètre que j’avais prédite s’est bel et bien produite.

Ce qui n’a pas changé

Le réseau local. TP-Link Omada, cinq points d’accès, switches managés, prises RJ45 dans chaque pièce. Ça marche. Je n’ai aucune raison d’y toucher.

Le FAI. MilkyWan continue d’être excellent. Délégation IPv6 propre, pas de ports bloqués, des gens compétents qui gèrent une vraie infrastructure. Je les recommande à quiconque en France peut obtenir un raccordement fibre.

L’OS. Debian partout. Trixie maintenant, mais toujours Debian.

Le routeur. Protectli Vault sous pfSense, connecté directement au WAN.

Apple pour les appareils personnels. Téléphones, portables, tout. Ça n’a pas changé et ça ne changera pas.

La philosophie. FOSS, auto-hébergé, respectueux de la vie privée. Pas de SaaS sauf raison opérationnelle claire. Chaque logiciel de ma stack est open source.

Les objectifs 2025, notés

J’avais fixé neuf objectifs en décembre 2024. Voici le bilan :

  1. Cluster Incus — Changement de cap. Trois serveurs Incus autonomes au lieu d’un cluster. La migration depuis Proxmox a eu lieu, le clustering non.
  2. IPv6 d’abord — Partiel. Les services tournent en double stack, mais l’IPv6 est le transport principal quand c’est possible.
  3. Migrer les sauvegardes vers le serveur dédié — Changement de cap. Direction OVH et Scaleway.
  4. WireGuard entre les sites — Pas fait. Toujours dans la liste.
  5. Abandonner Docker au profit d’Incus — Partiel. Sept services utilisent encore Docker quand le projet en amont l’exige.
  6. Rationaliser le DNS et les registrars — Fait. ClouDNS pour les zones, registrars consolidés.
  7. Auto-héberger le mail — Fait. Mailcow sur mocca.
  8. Privilégier le logiciel libre — Fait. Toute la stack est concernée.
  9. Dérive de périmètre — Largement accompli. Passage d’une douzaine de VM à plus de 30 instances gérées.

Cinq objectifs atteints, deux partiellement, un réorienté, un encore en attente. Pas mal pour un projet mené sur le temps libre.

La suite

Je lance un club informatique à Aspiran. Infrastructure partagée, projets collaboratifs, pas de bullshit corporate. Si vous êtes dans le coin de Montpellier ou du Coeur d’Hérault et que ça vous intéresse, contactez-moi.

Mastodon : @dahux@piaille.fr Email : me@segfaux.fr